Использование сертификатов для публичных служб Kaspersky EDR Expert

Для работы с публичными службами Kaspersky EDR Expert можно использовать самоподписанные или пользовательские сертификаты. По умолчанию Kaspersky EDR Expert использует самоподписанные сертификаты.

Сертификаты необходимы для следующих публичных служб Kaspersky EDR Expert:

• <console_host>.<smp_domain> – доступ к интерфейсу Консоли OSMP.
• <ksc_host>.<smp_domain> – взаимодействие с Сервером администрирования.
• <api_host>.<smp_domain> – доступ к API Kaspersky EDR Expert.
• <monitoring_host>.<smp_domain> – доступ к метрикам OSMP.
• <kuma_host>.<smp_domain> – доступ к компоненту SIEM.

FQDN публичных служб Kaspersky EDR Expert состоят из имен устройств и доменного имени, указанных в конфигурационном файле. Список адресов публичных служб Kaspersky EDR Expert, для которых при развертывании задаются самоподписанные или пользовательские сертификаты, указывается в параметре установки pki_host_list.

Пользовательский сертификат должен быть указан как файл в формате PEM, содержащий полную цепочку сертификатов (или только один сертификат) и незашифрованный закрытый ключ.

Вы можете указать промежуточный сертификат из инфраструктуры закрытых ключей (PKI) вашей организации. Пользовательские сертификаты для публичных служб Kaspersky EDR Expert выдаются из этого пользовательского промежуточного сертификата. Также вы можете указать конечные сертификаты для каждой публичной службы. Если конечные сертификаты указаны только для части публичных служб, то для остальных публичных служб выдаются самоподписанные сертификаты.

Для публичных служб <console_host>.<smp_domain>, <kuma_host>.<smp_domain>, <monitoring_host>.<smp_domain> и <api_host>.<smp_domain> пользовательские сертификаты можно указать только перед развертыванием в конфигурационном файле. Чтобы использовать пользовательский промежуточный сертификат, укажите параметры установки intermediate_bundle и intermediate_enabled. Максимальный срок действия пользовательского промежуточного сертификата должен быть 399 дней или больше.

Если для работы с публичными службами Kaspersky EDR Expert требуется использовать пользовательские конечные сертификаты, укажите соответствующие параметры установки console_bundle, admsrv_bundle, kuma_bundle, monitoring_bundle и api_bundle. Установите для параметра intermediate_enabled значение false и не указывайте параметры intermediate_bundle и pki_host_list.

Для службы <ksc_host>.<smp_domain> вы можете заменить выданный самоподписанный сертификат Сервера администрирования пользовательским сертификатом с помощью утилиты klsetsrvcert.

Автоматический перевыпуск сертификатов не поддерживается. Примите во внимание срок действия сертификата и обновите сертификат, когда срок его действия истечет.

Чтобы обновить пользовательские сертификаты:

1. На устройстве администратора выполните экспорт текущей версии конфигурационного файла.
2. В экспортированном конфигурационном файле укажите путь к новому пользовательскому промежуточному сертификату в параметре установки intermediate_bundle. Если вы используете конечные пользовательские сертификаты для каждой публичной службы, укажите параметры установки console_bundle, admsrv_bundle, kuma_bundle, monitoring_bundle и api_bundle.
3. Выполните следующую команду и укажите полный путь к измененному конфигурационному файлу:

   ./kdt apply -i <полный_путь_к_конфигурационному_файлу>

Пользовательские сертификаты обновлены.

В начало